យុទ្ធនាការមេរោគ Emotet ចែកចាយយុទ្ធសាស្ត្រ Nozelesn ដែលផ្តោតសំខាន់លើវិស័យបដិសណ្ឋារកិច្ចឧស្សាហកម្ម ដែលមានមូលដ្ឋានលើប្រព័ន្ធ endpoint តាមរយៈឯកសារ word ដែលមានមេរោគព្យាបាទ។ Telemetry រកឃើញមេរោគច្រើនជាង ១៤ ០០០ តាមរយៈសារ អេឡិចត្រូនិក emotet ដែលចែកចាយទូទាំងពិភពលោកចន្លោះថ្ងៃទី០៩ ខែមករាឆ្នាំ ២០១៩ និងថ្ងៃទី០៧ ខែកុម្ភៈឆ្នាំ២០១៩។
ការឆ្លងដ៏ធំទាំងនេះផ្តោតលើប្រទេសជាក់លាក់។ ជាដំបូង យុទ្ធនាការថ្មីនេះត្រូវគេរកឃើញតាមរយៈប្រព័ន្ធគ្រប់គ្រង និងគ្រប់គ្រងការឆ្លើយតប (MDR) របស់ Trend Micro ដែលអ្នកស្រាវជ្រាវអាចរកមើលសំណាកឯកសារភ្ជាប់ Emotet ជិត ៨៥០ ដែលមានលក្ខណៈស្រដៀងគ្នា។ អ្នកវាយប្រហារប្រើបច្ចេកទេសវិស្វកម្មសង្គមទូទៅបំផុត ក្នុងអ៊ីម៉ែលដូចជា “វិក័យប័ត្រចុងក្រោយ” “ព័ត៌មានលំអិតនៃការដឹកជញ្ជូន” “ខ្សែបញ្ជូនចេញ នៅថ្ងៃនេះ” និង “ការបញ្ជូនបន្ទាន់” ដើម្បីសម្រុះសម្រួលលើជនរង គ្រោះឱ្យពួកគេចុចលើតំណ ភ្ជាប់ ឬបើកឯកសារដែលមានជាប់ទាក់ទង។
អ៊ីម៉ែលឥតបានការ (spam emails ) មានឯកសារពាក្យភ្ជាប់នៅពេលដែលឯកសារភ្ជាប់នោះត្រូវបានគេបើក ប្រតិបត្តិម៉ាក្រូហើយ បន្ទាប់មកហៅទៅ PowerShell ដើម្បីទាញយកមេរោគផ្សេងទៀតចេញពីម៉ាស៊ីនមេពីចម្ងាយ។
ដំណើរការឆ្លងមេរោគ Emotet
ក្នុងដំណើរការស៊ើបអង្កេតអ្នកស្រាវជ្រាវរកឃើញឯកសារគួរឱ្យសង្ស័យមួយឈ្មោះថា “How_Fix_Nozelesn_files.htm” នៅក្នុងកន្លែងចុងក្រោយ endpoint (server) ដែលពួកគេក៏បានរកឃើញនូវការចម្លងមេរោគ Nozelesn ផងដែរ។ ការវិភាគខ្សែសង្វាក់ root បណ្តាលអោយឯកសារ ដែលមានមេរោគត្រូវគេបើកនៅក្នុងកម្មវិធី Microsoft Word ហើយត្រូវបានគេ ទាញយកតាមរយៈ Google Chrome ។ នៅពេលដែលជនរងគ្រោះបើកឯកសារ PowerShell. exe នោះ នឹងមានដំណើរការភ្ជាប់ជាមួយអាសយដ្ឋាន IP ជាច្រើនហើយបង្កើតឯកសារ 942.exe ផ្សេងទៀត។
មូលហេតុនៃការឆ្លងមេរោគ Emotet
ក្រោយមកវាទម្លាក់បន្ទុក payload ដែលមានលក្ខណៈស្រដៀងគ្នាទៅនឹង Nymaim ផ្សារភ្ជាប់ ជាមួយនឹងមេរោគ Nozelesn ។ នៅទីបំផុត Nymaim ដំឡើងមេរោគ Nozelesn ចូលទៅក្នុងប្រព័ន្ធមេរោគ។បន្ទាប់មកវាអ៊ិនគ្រីបឯកសារក្នុងប្រព័ន្ធ endpoint (ម៉ាស៊ីនបម្រើ) តាមរយៈថតដែលចែករំលែក(shared folders )។


ប្រភពព័ត៌មាន៖